Ce document présente une méthodologie pour réaliser une cartographie des risques dans les services académiques, incluant l'identification, la hiérarchisation et l'analyse des risques potentiels. Il propose des critères de cotation pour évaluer la fréquence, la gravité et la maîtrise des risques, permettant ainsi d'établir des priorités et un plan d'action. Chaque service doit adapter cette méthodologie à son contexte spécifique, en impliquant une réflexion collective pour assurer une compréhension partagée des enjeux.

1. ANNEXE 3
Fiche méthodologique : cartographie des risques et enjeux
Objectif de cette fiche de procédure pratique : proposer aux services académiques une méthode et un outil
permettant de réaliser une cartographie des risques
Cette méthode est basée sur :
 Une identification de l’ensemble des risques susceptibles de remettre en cause le bon fonctionnement d’un
service ou le bon déroulement d’un processus
 Une hiérarchisation de ces risques, en fonction de leur criticité calculée sur la base de critères de gravité, de
fréquence et de maitrise.
Cette cartographie des risques permet de contribuer à l’élaboration d’un plan d’action.
La liste des situations donnée à titre d’exemples dans les référentielsministériels n’est pas exhaustive dans la
mesure où chaque service peut avoir à faire face à des risques qui lui sont spécifiques. Il est donc nécessaire, pour
chaque service, sur la base des référentiels des risques ministériels, de mener une réflexion interne pour l’adapter à
son contexte et environnement.
Dans tous les cas, l’analyse des risques doit être réalisée en équipe ceci afin d’assurer une dimension pédagogique
et de valoriser les actions qui en découleront. La démarche de cartographie des risques doit être fondée sur une
vision partagée entre les différents acteurs du service.
Pour chaque risque, il est nécessaire de réaliser une cotation sur 3 critèrespermettant d’attribuer pour chacun des
risques 2 notes :
Critères Cotations
Pour le
calcul
La
fréquence
Niveau 1 : exceptionnelle / faiblement probable (ex : 1x/an)
Niveau 2 : rare / moyennement probable (ex : 1x/mois)
Niveau 3 : fréquent / fortement probable (ex : 1x/sem)
Niveau 4 : très fréquent / très probable (ex : 1 ou plrs x/jr)
F
La gravité
Niveau 1 : mineure ou nulle
Niveau 2 : peu grave
Niveau 3 : grave
Niveau 4 : très grave
G
La Maîtrise
Niveau 1 : aucune action en place ou inefficace (on découvre le risque)
Niveau 2 : quelques actions mais insuffisantes
Niveau 3 : procédures, plan d’action, indicateurs – existence d’un dispositif de CIC
Niveau 4 : maîtrise totale
M
Il appartient à chaque service de coter la fréquence, la gravité et la maîtrise.
Pour définir les échelles et classer les risques, le service doit tenir compte de son expérience : les évènements qui se
sont produits, les mesures préventives qu’’il a mis en œuvre, les mesures de contrôle et les actions qui peuvent
contribuer à diminuer la gravité, la fréquence et augmenter la détectabilité.

2. Servent de base de travail les données suivantes :
 Eléments de contexte du processus : réglementation nouvelle et/ou méconnue, modification de
l’organisation géographique ou fonctionnelle, dispersion géographique, multiplicité des acteurs.
 Changement de système d’information et/ou d’interfaçage (exemple DT Chorus …)
 Obsolescence de la documentation ou/et absence de cycle de formation
 Analyse détaillée du CHD ou des indicateurs MP3, observations sur les rejetsDRFIP, résultats d’un plan de
contrôle, l’outil Odicé pour le CIC EPLE…
 Bilan des actions déjà mises en œuvre
 Compte rendu de réunions
 Recommandations d’audit (interne ou externe)
En fonction de la cotation, il est possible de déterminer 2 notes :
 La criticité du risque : C = F x G
Fréquence Niveau 1 Niveau 2 Niveau 3 Niveau 4
Exceptionnel Rare Fréquent Très fréquent
Gravité (avec quelques exemples de cotations)
Niveau 1 = Mineure
1 2 3 4
- Impact financier< 1000€
- Altération légère des délais
- Anomalies <1%
Niveau 2 = Peu grave
2 4 6 8
- Impact financier1 000 €à 15 000 €
- Altération légère de la qualité
- Anomalies <5%
Niveau 3 = Grave
3 6 9 12
- Impact financier15 000 €à 150 000 €
- Altération visible des délais et/ou de la qualité
- Anomalies <10%
Niveau 4 = Très grave
4 8 12 16
- Impact financier> 150 000 €
- Impossibilité de fournirun service
- Anomalies >10% oudonnées inutilisables
(Les cotations ne sont pas forcément en lien avec la couleur. Par ex : un risque coté « 4 » : de fréquence 4 et
de gravité 1 sera sérieux, mais de fréquence 1 et de gravité 4 sera critique)
 Le niveau de risque : R = C / M
Criticité =>
Maîtrise
Niveau 1 = Aucune action 1 2 3 4 6 8 9 12 16
Niveau 2 = Quelquesactions 0,5 1 1,5 2 3 4 4,5 6 8
Niveau 3 = Dispositif de CIC 0,33 0,66 1 1,33 2 2,66 3 4 5,33
Niveau 4 = Maîtrise totale 0,25 0,5 0,75 1 1,5 2 2,25 3 4

3. Priorisation des actions à mettre en place
Une fois le niveau de risque établi le service hiérarchise les risques (du niveau de risque le plus élevé au moins élevé),
et formalise, son programme d’actions prioritaires en tenant compte de la faisabilité de chaque action envisagée
pour traiter les risques.
Priorité Significations (selon la grille «niveau de risque »)
Priorité 1
Risque critique :
Action(s) à mener immédiatement
Priorité 2
Risque important :
Action(s) à mener à court et moyen terme
Priorité 3
Risque acceptable :
Mise en place d’action non prioritaire
Exemples :
Cas 1
Processus Libellé du risque identifié
Fréquence Gravité Criticité Maîtrise
Niveau de
risque
F G C = F x G M R= C / M
Rémunération
– prise en
charge d’un
agent
Non-paiement de l'agent du
fait de données financières
incomplètes - Oubli de saisie
(RIB, bureau de gestion, etc.).
Niveau 2 Niveau 4 8 Niveau 1 8
Rare Très grave = 2 x 4 inefficace = 8 / 1
Dans le cas présent, le risque n’est pas maîtrisé par le service. Il sera par conséquent de priorité 2 => « Risque
important / Action(s) à mener à court et moyen terme »
Action => Le dispositif de CIC doit être renforcé
(Mise en place d’une fiche de procédure, autocontrôle, contrôle de supervision, réflexion sur l’organisation du
bureau, formation…)
Cas 2 (même risque/ même fréquence / même gravité) –> mais « maîtrise totale » du service
Processus Libellé du risque identifié
Fréquence Gravité Criticité Maîtrise
Niveau de
risque
F G C = F x G M R= C / M
Rémunération
– prise en
charge d’un
agent
Non-paiement de l'agent du
fait de données financières
incomplètes - Oubli de saisie
(RIB, bureau de gestion, etc.).
Niveau 2 Niveau 4 8 Niveau 4 2

4. Rare Très grave = 2 x 4 Totale = 8 / 4
Le risque est totalement maîtrisé par le bureau. Il n’est donc pas nécessaire de lancer une action sur le sujet.